| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 7.3 | $0-$5k | 0.00 |
الملخص
ثغرة أمنية مصنفة على أنها خطيرة تم أيجادها في Acunetix Web Vulnerability Scanner. المشكلة أثرت على دالة غير معروفة من العنصر URL Conversion Handler. ينتج عن التلاعب حدوث تلف الذاكرة. تم تسمية الثغرة بأسمCVE-2014-2994. علاوة على ذلك، يوجد استغلال متاح. لهذه الثغرة تأثير تاريخي بسبب خلفيتها واستقبالها.
التفاصيل
ثغرة أمنية مصنفة على أنها خطيرة تم أيجادها في Acunetix Web Vulnerability Scanner. المشكلة أثرت على دالة غير معروفة من العنصر URL Conversion Handler. ينتج عن التلاعب حدوث تلف الذاكرة. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-119. تم نشر الضعف 23/04/2014 بواسطة Danor Cohen (An7i) كـ Pwn the n00bs - Acunetix 0day كـ استشارة (موقع إلكتروني). يمكن تحميل الاستشارة من هنا an7isec.blogspot.co.il. حدث الإفصاح العلني بدون تنسيق مع المورد.
تم تسمية الثغرة بأسمCVE-2014-2994. تم تخصيص CVE في 24/04/2014. لا توجد تفاصيل تقنية متوفرة. مستوى شهرة هذه الثغرة يتجاوز المتوسط. علاوة على ذلك، يوجد استغلال متاح. تم إتاحة الاستغلال للجمهور وقد يتم استغلاله. لهذه الثغرة تأثير تاريخي بسبب خلفيتها واستقبالها. وقد صرح الاستشاري بأن:
ACUNETIX gets its information about external domains as a URL. (...) URL string accepts only printable alphanumeric chars and URL converted special chars (with few exceptions). So if my external source contains one of the special chars, they will be converted into "%SOMETHING".
في حال وجود فعالة للغاية، يتم الإعلان عنه كـ فعالة للغاية. الإكسبلويت يمكن تحميلها من هناt an7i.net. كسعر لثغرة يوم الصفر، قُدّر السعر في السوق السوداء بحوالي $25k-$100k. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق122047 (Acunetix Web Vulnerability 8 Scanner Buffer Overflow Vulnerability).
إذا كان هناك عناصر في source_databases_list، فإن الثغرة موثقة كذلك في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 67058), X-Force (93073) , Vulnerability Center (SBV-44676).
منتج
المجهز
الأسم
CPE 2.3
CPE 2.2
لقطة شاشة
فيديو
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 7.3VulDB الدرجة المؤقتة للميتا: 7.3
VulDB الدرجة الأساسية: 7.3
VulDB الدرجة المؤقتة: 7.3
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: تلف الذاكرةCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
وصول: عام
الحالة: فعالة للغاية
المؤلف: Danor Cohen (An7i)
لغة البرمجة: 🔍
تحميل: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Qualys ID: 🔍
Qualys الأسم: 🔍
Exploit-DB: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: لا يوجد تخفيف معروفالحالة: 🔍
زمن الهجوم الفوري: 🔍
وقت تأخير الاستغلال: 🔍
Fortigate IPS: 🔍
الجدول الزمني
23/04/2014 🔍23/04/2014 🔍
23/04/2014 🔍
23/04/2014 🔍
24/04/2014 🔍
24/04/2014 🔍
25/04/2014 🔍
27/04/2014 🔍
28/05/2014 🔍
12/05/2026 🔍
المصادر
استشارة: Pwn the n00bs - Acunetix 0dayباحث: Danor Cohen (An7i)
الحالة: مؤكد
تأكيد: 🔍
CVE: CVE-2014-2994 (🔍)
GCVE (CVE): GCVE-0-2014-2994
GCVE (VulDB): GCVE-100-13068
X-Force: 93073 - Acunetix Web Vulnerability Scanner HTML file buffer overflow, Medium Risk
SecurityFocus: 67058 - Acunetix Web Vulnerability Scanner Remote Stack Buffer Overflow Vulnerability
OSVDB: 106215
Vulnerability Center: 44676 - Acunetix Web Vulnerability Scanner (WVS) Remote Code Execution via a Long URL, High
scip Labs: https://www.scip.ch/en/?labs.20161013
إدخال
تم الإنشاء: 25/04/2014 01:16 PMتم التحديث: 12/05/2026 01:43 AM
التغييرات: 25/04/2014 01:16 PM (57), 29/05/2017 08:56 AM (25), 17/12/2024 10:45 AM (18), 12/05/2026 01:43 AM (1)
كامل: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق